Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная РУБРИКАТОР Управление непрерывностью бизнеса Управление непрерывностью бизнеса (BS ISO/IEC 27002:2005 RU, раздел 14)
Protectiva Compliance Manager
Навигация
 

Управление непрерывностью бизнеса (BS ISO/IEC 27002:2005 RU, раздел 14)

Операции с документом
Цель: Препятствовать прерываниям хозяйственной деятельности и защищать критически важные бизнес процессы от влияния крупных сбоев или аварий и обеспечивать их своевременное возобновление.

Аспекты информационной безопасности в управлении непрерывностью бизнеса

Процесс управления непрерывностью бизнеса должен внедряться с целью уменьшения убытков, вызываемых авариями и сбоями в системе безопасности (которые, могут быть результатом, например, стихийных бедствий, несчастных случаев, отказов оборудования и преднамеренных действий), до приемлемого уровня путем комбинирования превентивных и восстановительных механизмов контроля. Этот процесс должен идентифицировать критичные бизнес процессы и интегрировать требования по управлению информационной безопасностью, предъявляемые к непрерывности бизнеса, с другими требованиями по обеспечению непрерывности, относящиеся к таким аспектам, как операции, персонал, материалы, транспорт и инфраструктура.

Последствия аварий, сбоев в системе безопасности, прерывания предоставления сервисов и доступность сервисов должны являться предметом анализа влияния на бизнес. Для обеспечения своевременного возобновления важных операций следует разработать и внедрить планы обеспечения непрерывности бизнеса. Информационная безопасность должна быть составной частью общего процесса обеспечения непрерывности бизнеса, а также других процессов управления в организации.

Управление непрерывностью бизнеса должно включать в себя механизмы для идентификации и снижения рисков в дополнение к общему процессу оценки рисков,  ограничивать последствия разрушительных инцидентов и обеспечивать доступность информации в бизнес процессах.

Включение информационной безопасности в процесс управления непрерывностью бизнеса

 

Механизм контроля

В организации должен быть разработан и поддерживаться управляемый процесс обеспечения непрерывности бизнеса, учитывающий требования информационной безопасности, необходимые для обеспечения непрерывности бизнеса организации.

Руководство по внедрению

Этот процесс должен свести воедино следующие ключевые элементы управления непрерывностью бизнеса:

  • понимание рисков, с которыми сталкивается организация, в терминах вероятности их возникновения и их последствий, включая определение и приоритезацию критически важных бизнес процессов;
  • идентификацию всех ресурсов, вовлеченных в критичные бизнес процессы;
  • понимание последствий прерывания деятельности, вызванных инцидентами информационной безопасности, которые, вероятно, будут иметь воздействие на бизнес (важно найти решения, которые позволяли бы справляться как с небольшими инцидентами, так и с серьезными инцидентами, которые могут поставить под угрозу жизнеспособность организации), а также определение бизнес целей для средств обработки информации;
  • рассмотрение возможности покупки подходящего страхового полиса, который может сформировать часть процесса обеспечения непрерывности бизнеса, а также являться частью управления операционными рисками;
  • идентификацию и рассмотрение вопросов внедрения дополнительных превентивных и сдерживающих механизмов контроля;
  • определение достаточных для выполнения идентифицированных требований информационной безопасности финансовых, организационных, технических ресурсов и ресурсов окружающей среды;
  • обеспечение безопасности персонала, а также защита средств обработки информации и собственности организации;
  • определение и документирование планов обеспечения непрерывности бизнеса, учитывающих требования информационной безопасности, в соответствии с согласованной стратегией непрерывности бизнеса;
  • регулярное тестирование и обновление существующих планов и процессов;
  • обеспечение того, чтобы управление непрерывностью бизнеса было встроено в структуру и процессы организации; ответственность за координацию процесса управления непрерывностью бизнеса должна быть закреплена на соответствующем уровне в организации.

Непрерывность бизнеса и оценка рисков

 

Механизм контроля

Должны быть идентифицированы события, которые могут привести к прерываниям бизнес процессов, наряду с вероятностью и воздействием таких прерываний, а также их последствиями для информационной безопасности.

Руководство по внедрению

Аспекты информационной безопасности в непрерывности бизнеса должны базироваться на идентификации событий (или последовательности событий), которые могут привести к прерыванию бизнес процессов организации, таких как сбои оборудования, человеческие ошибки, кража, пожар, стихийные бедствия и акты терроризма. После этого необходимо провести оценку рисков с целью определения вероятности и воздействием таких событий в терминах времени, величины ущерба и периода восстановления.

Оценки рисков непрерывности бизнеса должны осуществляться при непосредственном участии владельцев бизнес ресурсов и процессов. Такая оценка должна охватывать все бизнес процессы и не должна ограничиваться только средствами обработки информации, но должна включать результаты специфичные для информационной безопасности. Важно соединить воедино различные аспекты рисков для получения полной картины требований по обеспечению непрерывности бизнеса в организации. В ходе оценки следует идентифицировать, вычислить и приоритезировать риски в соответствии с критериями и целями, существенными для организации, включая критичные ресурсы, последствия прерываний, допустимые времена простоя и приоритеты восстановления.

В зависимости от результатов оценки рисков должна быть разработана стратегия непрерывности бизнеса, определяющая общий подход к обеспечению непрерывности бизнеса. После того, как эта стратегия будет разработана, она должна быть утверждена руководством, а затем должен быть разработан и утвержден план реализации этой стратегии.

Разработка и внедрение планов обеспечения непрерывности бизнеса, включающих информационную безопасность

 

Механизм контроля

Должны быть разработаны и внедрены планы, которые позволят восстановить и продолжить операции, а также обеспечить требуемый уровень доступности информации в требуемые сроки после прерывания или сбоя критически важных бизнес процессов.

Руководство по внедрению

Процесс планирования непрерывности бизнеса должен включать следующее:

  • определение и согласование всех областей ответственности и процедур обеспечения непрерывности бизнеса;
  • определение приемлемого уровня потерь информации и сервисов;
  • реализация процедур, позволяющих произвести восстановление бизнес операций и доступности информации в требуемые интервалы времени; особое внимание следует уделять оценке внутренних и внешних бизнес связей и заключенным договорам;
  • операционные процедуры, которым необходимо следовать в ожидании завершения восстановления;
  • документирование согласованных процессов и процедур;
  • соответствующее обучение персонала для исполнения согласованных процедур и процессов, включая кризисное управление;
  • тестирование и обновление планов.

Процесс планирования должен быть сосредоточен на бизнес целях, например, возобновление конкретных сервисов для клиентов в приемлемые сроки. Должны быть идентифицированы сервисы и ресурсы, которые позволят добиться упомянутых целей, включая комплектование штата, ресурсы, не задействованные в обработке информации, а также соглашения о резервировании средств обработки информации. Такие резервные соглашения могут включать в себя договоренности с третьей стороной в форме взаимных соглашений или коммерческих сервисов, предоставляемых по подписке.

Планы обеспечения непрерывности бизнеса должны охватывать организационные уязвимости и поэтому могут содержать конфиденциальную информацию, которая должна быть соответствующим образом защищена. Копии планов обеспечения непрерывности бизнеса должны храниться на удаленной площадке на достаточном расстоянии для того, что избежать любых повреждений в случае катастрофы на главной площадке. Руководство должно убедиться в том, что копии планов обеспечения непрерывности бизнеса являются актуальными и защищены на таком же уровне, как и на основной площадке. Другие материалы, необходимые для выполнения планов обеспечения непрерывности бизнеса, также должны храниться на удаленной площадке.

Если используются альтернативные временные площадки, уровень реализованных механизмов безопасности на этих площадках должен быть аналогичен уровню главной площадки.

Дополнительная информация

Следует отметить, что планы и мероприятия по управлению кризисными ситуациями могут отличаться от управления непрерывностью бизнеса; т.е. может произойти кризис, который обеспечивается обычными управляющими процедурами.

Общая схема планирования непрерывности бизнеса

 

Механизм контроля

Необходимо поддерживать единую структуру планов обеспечения непрерывности бизнеса, чтобы обеспечить непротиворечивость всех планов и последовательно реализовать требования информационной безопасности, а также определять приоритеты в области тестирования и сопровождения.

Руководство по внедрению

Каждый план обеспечения непрерывности бизнеса должен описывать подход к обеспечению непрерывности, например, подход к обеспечению доступности и безопасности информации и информационных систем. Каждый из планов обеспечения непрерывности бизнеса должен четко определять условия, при которых начинается его исполнение, а также перечень лиц, ответственных за исполнение каждого из компонентов плана. При выявлении новых требований, установленные аварийные процедуры, например, планы эвакуации или любые существующие соглашения по резервированию, должны быть соответствующим образом пересмотрены. Процедуры должны быть включены в программу организации по управлению изменениями, чтобы гарантировать, что вопросам непрерывности бизнеса всегда уделяется должное внимание.

Каждый план должен иметь конкретного владельца. Процедуры аварийного восстановления, ручные процедуры резервирования и планы возобновления работы, должны находиться в области ответственности владельцев соответствующих бизнес процессов и ресурсов. Резервные соглашения об альтернативных технических сервисах, таких как средства обработки и передачи информации, обычно должны входить в область ответственности сервис провайдеров.

Общая схема планирования обеспечения непрерывности бизнеса должна учитывать требования информационной безопасности и включать в себя следующее:

  • условия начала выполнения планов, в которых описывается процесс, подлежащий выполнению (как оценить ситуацию, кто должен быть вовлечен и т.п.) до того, как план будет активирован;
  • аварийные процедуры, описывающие действия, которые должны быть выполнены немедленно после возникновения инцидента, создающего угрозу осуществлению хозяйственной деятельности;
  • резервные процедуры, определяющие действия, которые должны быть предприняты для перемещения критически важных видов хозяйственной деятельности или вспомогательных сервисов в места временной дислокации, а также для возобновления бизнес процессов в требуемые сроки;
  • временные операционные процедуры, которым необходимо следовать до завершения восстановления и возобновления хозяйственной деятельности;
  • процедуры возобновления, описывающие действия, которые должны быть выполнены для возобновления нормальной хозяйственной деятельности;
  • график осуществления поддержки, в котором определяется, как и когда будет производиться тестирование плана, а также процесс поддержки плана;
  • мероприятия по повышению осведомленности и обучению, которые предназначены для выработки понимания процессов обеспечения непрерывности бизнеса и предоставлению гарантий того, что эти процессы продолжают оставаться эффективными;
  • ответственность отдельных лиц с указанием того, кто отвечает за выполнение каждого конкретного компонента плана; при необходимости, следует назначать несколько ответственных лиц;
  • критичные активы и ресурсы, необходимые для выполнения аварийных процедур, резервных процедур и процедур восстановления.

Тестирование, поддержка и пересмотр планов обеспечения непрерывности бизнеса

 

Механизм контроля

Планы обеспечения непрерывности бизнеса должны регулярно тестироваться и обновляться, чтобы гарантировать, что они являются актуальными и эффективными.

Руководство по внедрению

Тестирование планов обеспечения непрерывности бизнеса должно гарантировать, что все члены группы восстановления и другой задействованный персонал осведомлены об этих планах и своей ответственности за обеспечение непрерывности бизнеса и информационной безопасности, а также знают о выполняемой ими роли в случае активизации плана.

График тестирования планов обеспечения непрерывности бизнеса должен показывать, как и когда будет проводиться тестирование каждого элемента плана. Рекомендуется чаще производить тестирование каждого элемента плана.

Для получение гарантий того, что план окажется работоспособным в реальных условиях, следует использовать разнообразные методы. Они должны включать в себя следующее:

  • «настольное» тестирование различных сценариев (обсуждение мероприятий по восстановлению хозяйственной деятельности на примерах возможных аварий);
  • моделирование (в частности, для тренировки сотрудников в выполнении ролей по реагированию на инциденты и кризисному управлению);
  • техническое тестирование процедуры восстановления (чтобы гарантировать возможность эффективного восстановления информационных систем);
  • тестирование процедуры восстановления на альтернативной площадке (выполнение бизнес процессов параллельно с мероприятиями по восстановлению, проводимыми вне основной площадки);
  • тестирование производственных мощностей и сервисов поставщиков (чтобы гарантировать, что продукты и услуги, предоставляемые внешними поставщиками, будут соответствовать условиям договоров);
  • генеральные репетиции (проверка того, что организация, персонал, оборудование, производственные мощности и процессы способны справиться с последствиями прерывания деятельности).

Эти методы могут использоваться любой организацией. Они должны отражать характер конкретного плана восстановления после аварии. Результаты тестов должны протоколироваться и там, где это необходимо, должны приниматься меры по совершенствованию планов.

Должна быть определена ответственность за регулярный пересмотр каждого из планов обеспечения непрерывности бизнеса; выявление изменений в порядке ведения деятельности, которые еще не были отражены в планах обеспечения непрерывности бизнеса, должно сопровождаться внесением соответствующих изменений в план. Этот формальный процесс управления изменениями должен гарантировать, что обновленные версии планов распределены между сотрудниками и подкреплены регулярными пересмотрами общего плана.

Примеры ситуаций, в которых необходимо производить обновление планов, включают в себя приобретение нового оборудования или модернизацию систем, а также изменения:

  • состава персонала;
  • адресов или телефонных номеров;
  • стратегии бизнеса;
  • местоположения, производственных мощностей и ресурсов;
  • законодательства;
  • состава подрядчиков, поставщиков и ключевых клиентов;
  • процессов, включая добавление новых или отмену существующих;
  • риска (операционного и финансового).

Comments (0)

Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2019 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex